قراصنة حكوميون يستخدمون Gemini AI في هجماتهم – تقرير جوجل

لم يعد الذكاء الاصطناعي (Artificial Intelligence) مجرد أداة إنتاجية في أيدي المطورين والشركات؛ بل أصبح سلاحًا متطورًا في ترسانة قراصنة يستخدمون Gemini AI من جوجل لتنفيذ هجمات سيبرانية على مستوى الدول. فوفقًا لتقرير حديث صادر عن مجموعة استخبارات التهديدات (Google Threat Intelligence Group) التابعة لجوجل، تستعين مجموعات قرصنة مدعومة حكوميًا من الصين وإيران وكوريا الشمالية وروسيا بنموذج Gemini لدعم جميع مراحل الهجوم — بدءًا من جمع المعلومات الاستخباراتية، مرورًا بإنشاء أدوات الاختراق، وانتهاءً بسرقة البيانات. فكيف يتم ذلك بالتحديد، وما الذي تفعله جوجل لمواجهة هذا التهديد المتصاعد؟

كيف يستغل القراصنة Gemini AI في هجماتهم السيبرانية؟

يُوضح تقرير مجموعة استخبارات التهديدات أن مجموعات التهديد المتقدم المستمر (APT – Advanced Persistent Threat) تستخدم Gemini كأداة مساعدة متعددة الأغراض تُسرّع عملياتهم الهجومية. وتتوزع الاستخدامات المرصودة على عدة محاور:

• الاستطلاع وجمع المعلومات: رسم ملفات تعريفية للأهداف واستخبارات المصادر المفتوحة.
• إنشاء طُعوم التصيد: صياغة رسائل احتيالية مُقنعة ومُخصصة.
• ترجمة النصوص: تكييف المحتوى الخبيث بلغات متعددة.
• تطوير الأكواد البرمجية: كتابة وتصحيح شفرات أدوات الاختراق.
• اختبار الثغرات: تحليل نقاط الضعف الأمنية في الأنظمة المستهدفة.
• تطوير البنية التحتية: إنشاء أنظمة التحكم والسيطرة (Command and Control – C2) واستخراج البيانات.

يُشير تقرير جوجل إلى أن مجموعات التهديد المتقدم تستخدم Gemini لدعم حملاتهم “بدءًا من الاستطلاع وإنشاء طُعوم التصيد وصولًا إلى تطوير بنية التحكم والسيطرة واستخراج البيانات.”

خريطة التهديد: من يستخدم Gemini وكيف؟

رصد التقرير أنشطة مجموعات قرصنة متعددة تنتمي إلى أربع دول، لكل منها أساليبها الخاصة في توظيف الذكاء الاصطناعي.

المجموعات الصينية: استغلال متقدم لتحليل الثغرات

استخدمت مجموعات صينية — من بينها APT31 وTemp.HEX — أسلوبًا مثيرًا للاهتمام: انتحال شخصية خبير أمن سيبراني لمطالبة Gemini بأتمتة تحليل الثغرات وتقديم خطط اختبار مُستهدفة ضمن سيناريو مُختلق.

وفقًا لما أوردته جوجل، فإن أحد هؤلاء المهاجمين اختلق سيناريو وهميًا، واختبر في إحدى الحالات أدوات Hexstrike MCP، ووجّه النموذج لتحليل ثغرات تنفيذ التعليمات البرمجية عن بُعد (Remote Code Execution – RCE)، وتقنيات تجاوز جدران حماية تطبيقات الويب (WAF)، ونتائج اختبارات حقن SQL ضد أهداف محددة في الولايات المتحدة.

كما لجأ مهاجم صيني آخر إلى Gemini بشكل متكرر لـ إصلاح الأكواد البرمجية وإجراء أبحاث تقنية والحصول على نصائح حول قدرات الاختراق.

المجموعة الإيرانية APT42: الهندسة الاجتماعية المدعومة بالذكاء الاصطناعي

وظّفت مجموعة APT42 الإيرانية نموذج Gemini كمنصة متعددة الاستخدامات تشمل:

• حملات الهندسة الاجتماعية (Social Engineering): تصميم رسائل احتيالية مُخصصة.
• تسريع تطوير الأدوات الخبيثة: تصحيح الأكواد وتوليدها والبحث في تقنيات الاستغلال.
• تعزيز برمجيات خبيثة قائمة: إضافة قدرات جديدة إلى عائلات برمجيات خبيثة معروفة.

برمجيات خبيثة جديدة مدعومة بالذكاء الاصطناعي

لم يقتصر الأمر على استخدام Gemini كمساعد بحثي، بل رصد التقرير برمجيات خبيثة فعلية طُوّرت أو عُزّزت باستخدام قدرات الذكاء الاصطناعي التوليدي.

برمجية HonestCue: توليد الشفرات الهجومية آليًا

تُعدّ HonestCue إطار عمل خبيثًا تجريبيًا (Proof-of-Concept) رُصد أواخر عام 2025. وما يجعله لافتًا هو آلية عمله غير التقليدية:

1. يستخدم واجهة برمجة تطبيقات Gemini (Gemini API) لتوليد شفرة برمجية بلغة C# تُمثّل المرحلة الثانية من البرمجية الخبيثة.
2. يقوم بـ تجميع هذه الشفرة تلقائيًا.
3. يُنفّذ الحمولة الخبيثة مباشرة في الذاكرة — مما يُصعّب اكتشافها من قبل برامج مكافحة الفيروسات.

حزمة CoinBait: تصيد مموّه بشكل منصة عملات رقمية

أما CoinBait فهي حزمة تصيد احتيالي مبنية على تقنية React SPA (تطبيق صفحة واحدة) تنتحل هوية منصة تداول عملات رقمية بهدف سرقة بيانات الاعتماد.

تتضمن هذه الحزمة آثارًا تُشير بوضوح إلى أن تطويرها تمّ بمساعدة أدوات توليد الأكواد بالذكاء الاصطناعي. ومن أبرز المؤشرات:

• وجود رسائل تسجيل في الشفرة المصدرية مسبوقة بكلمة “Analytics:” — وهو نمط يُمكن أن يُساعد فرق الدفاع في تتبع عمليات استخراج البيانات.
• استخدام منصة Lovable AI في التطوير، حيث رُصد استخدام عميل Lovable Supabase ونطاق lovable.app.

حملات ClickFix: إعلانات خبيثة تستهدف مستخدمي ماك

رصد التقرير أيضًا استخدام خدمات الذكاء الاصطناعي التوليدي في حملات كليك فيكس (ClickFix) — وهي نوع من حملات الهندسة الاجتماعية التي تخدع المستخدمين لتنفيذ أوامر خبيثة على أجهزتهم.

كيف تعمل هذه الحملات؟

1. يبحث المستخدم عن حلول لمشكلات تقنية محددة عبر محرك البحث.
2. تظهر إعلانات خبيثة ضمن نتائج البحث تبدو كحلول مشروعة.
3. يُوجَّه المستخدم إلى تنفيذ أوامر ضارة ظنًا منه أنها خطوات لحل المشكلة.
4. تُثبّت على جهازه برمجية AMOS — وهي برمجية خبيثة متخصصة في سرقة المعلومات من أجهزة macOS.

هذا النوع من الهجمات يُمثّل تهديدًا متزايدًا لمستخدمي أجهزة ماك الذين اعتادوا اعتبار أجهزتهم أقل عرضة للتهديدات مقارنة بنظام ويندوز.

محاولات استخلاص النموذج: سرقة “عقل” Gemini

إلى جانب الاستخدام المباشر في الهجمات، رصدت جوجل تهديدًا من نوع مختلف تمامًا: محاولات استخلاص النموذج (Model Extraction) وتقطير المعرفة (Knowledge Distillation).

ما المقصود بذلك؟

يقوم المهاجمون باستخدام صلاحيات وصول مشروعة إلى واجهة Gemini البرمجية لإرسال استعلامات ممنهجة بهدف نسخ آليات اتخاذ القرار في النموذج وإعادة إنتاج وظائفه في نموذج آخر. تعتمد هذه العملية على تقنية تعلم آلي تُسمى تقطير المعرفة، حيث تُنقل المعرفة المكتسبة من نموذج متقدم إلى نموذج جديد.

هجوم واسع النطاق

في واحدة من أكبر هذه المحاولات، تعرّض Gemini لـ 100,000 استعلام مُصممة لاستنساخ منطق النموذج عبر مجموعة من المهام بلغات غير إنجليزية.

“استخلاص النموذج وتقطير المعرفة اللاحق يُمكّنان المهاجم من تسريع تطوير نماذج الذكاء الاصطناعي بسرعة وبتكلفة أقل بكثير.”
— باحثو مجموعة استخبارات التهديدات في جوجل

تُصنّف جوجل هذه المحاولات كتهديد جدي لأنها:

• تُمثّل سرقة ملكية فكرية بشكل مباشر.
• قابلة للتوسع على نطاق واسع.
• تُقوّض بشكل خطير نموذج الذكاء الاصطناعي كخدمة (AI-as-a-Service).

ردّ جوجل: إجراءات مضادة متعددة المستويات

لم تقف جوجل مكتوفة الأيدي أمام هذه التهديدات. فقد اتخذت الشركة عدة إجراءات لمواجهة إساءة استخدام Gemini:

• تعطيل الحسابات: أغلقت الحسابات والبنية التحتية المرتبطة بالانتهاكات الموثّقة.
• تعزيز خطوط الدفاع: نفّذت دفاعات مُستهدفة في مُصنّفات Gemini لجعل الاستغلال أصعب.
• اختبارات مستمرة: تُجري اختبارات دورية على نماذجها لتحسين أمانها وسلامتها.

ورغم ذلك، أشار التقرير إلى أنه لم تحدث اختراقات كبرى حتى الآن من خلال هذا الاستغلال، لكنه يتوقع أن يستمر مشغّلو البرمجيات الخبيثة في دمج قدرات الذكاء الاصطناعي في أدواتهم بشكل متزايد.

تُؤكد جوجل أنها “تُصمم أنظمة الذكاء الاصطناعي بتدابير أمنية قوية وحواجز سلامة صارمة” وتختبر نماذجها بانتظام لتعزيز أمنها.

كلمة أخيرة

يرسم تقرير جوجل صورة مقلقة لكنها واقعية: قراصنة يستخدمون Gemini AI وأدوات الذكاء الاصطناعي الأخرى لتسريع عملياتهم وتطوير أدواتهم بكفاءة غير مسبوقة. من برمجية HonestCue التي تُولّد شفراتها الهجومية عبر واجهة Gemini، إلى حزمة CoinBait المبنية بمساعدة منصات الذكاء الاصطناعي، وصولًا إلى محاولات نسخ “عقل” النموذج ذاته — نحن أمام مشهد تهديدات يتطوّر بسرعة.

الخبر الجيد أن جوجل تتعامل مع هذه التهديدات بجدية، وأن أيًا من هذه الاستخدامات لم يُسفر عن اختراق نوعي جذري حتى الآن. لكن السباق بين المهاجمين والمدافعين دخل مرحلة جديدة يُشكّل فيها الذكاء الاصطناعي ساحة المعركة ذاتها وليس مجرد أداة فيها.

هل تعتقد أن شركات الذكاء الاصطناعي تفعل ما يكفي لمنع إساءة استخدام نماذجها؟ وهل يُقلقك هذا التطور كمستخدم عادي؟ شاركنا رأيك في التعليقات!

أسئلة شائعة

📡 للمزيد من التغطيات اليومية، استكشف قسم الأخبار عبر موقعنا.

ابقَ دائماً في قلب الحدث التقني! 🔍
انضم الآن إلى نخبة متابعينا على تيليجرام و واتساب لتصلك أهم الأخبار والحصريات فور حدوثها! 💡

مقالات ذات صلة:

• Claude 3.7 يحصل على ميزة البحث عبر الويب – منافس جديد لـ ChatGPT؟
• ثغرة خطيرة في WinRAR استُغلت لتنفيذ هجمات “زيرو داي” لنشر برمجيات RomCom الخبيثة
• موزيلا فايرفوكس يودع مستخدمي ويندوز 7 و 8 بآخر تحديث
• مايكروسوفت تصدر تصحيحات أمنية لـ 63 ثغرة خطيرة في فبراير 2025: تفاصيل ثغرتين قيد الاستغلال
• جوجل تُصدر تحديثًا أمنيًا عاجلًا لمتصفح Chrome لإصلاح ثغرة خطيرة قد تؤدي لاختراق الحسابات